Я бы закрыл вход на ssh по паролям (только по ключам). И на
маршрутизаторе (не на сервере!) включил защиту от DOS/DDOS. Ключи - это защита от social engineering.
Ну и в случае ухода/увольнения сотрудника проще удалить его ключ,
чем убедиться что нигде на столах не лежит "записочка с паролем".